金融行业既是网络犯罪分子的目标,也是其实施网络犯罪的工具。年复一年,犯罪分子通过欺诈和身份盗用,从金融机构中盗走数十亿美元,令许多客户受害。尽管已遭受如此巨大的损失,网络犯罪带来的损害依然未受到制止,犯罪分子不断地试错,从而寻找更佳的新方法来窃取、隐藏不义之财。
如何制止这一趋势已成为一个问题。更有效的调查是主要的解决方案之一。网络犯罪是犯罪活动的一个特殊领域,要阻止它,就需要私营机构、执法机构和监管机构携手开展调查。1
在阻止网络犯罪的众多参与者和所需的技能中,反洗钱专业人员至关重要。反洗钱和金融欺诈调查员的工作涉及到刑事、民事和监管规则;这些调查人员已经在前线开展工作,以识别犯罪活动。凭借现有的经验和知识,反洗钱和金融调查员将成为防范网络犯罪行动中的关键一环。但是,需要更多接受培训的调查人员,他们知道如何识别、跟踪和阻止网络犯罪和网络洗钱,并且完全了解其工作可以如何支持其他调查参与者,以及如何获得其他参与者的支持。
网络犯罪的利润、支付以及财务和反洗钱调查的待改进之处
大多数网络犯罪的目的是赚钱,发生在非法的在线经济中,主要涉及金融盗窃和欺诈、数据盗窃、恶意软件、文件伪造和身份盗用。数千名犯罪分子利用各自的渠道,通过欺诈或提供违法商品或服务来谋利。网络犯罪通常是远程操作,涉及全球,且利润巨大。所有活动均依赖于付款、资金转账和资金存储,这反过来说明了反洗钱专员对网络犯罪调查的重要性。2
网络犯罪分子会利用各种有价物,包括政府发行的货币(法定货币)和虚拟货币。 3如果有窃取的方法,他们就会尝试。如果有一种付款方式方便且可匿名使用,他们也会使用。成功的网络犯罪分子会赚很多钱,也会想使用这些钱,因此他们会用各种便利且匿名的方式来洗钱。
网络犯罪技术可能十分复杂,难以追踪。但是,这些非法收入的流动就在反洗钱专业人员的专业知识之内。跟踪并减少非法收入流动是打击网络犯罪的关键要素。 4反洗钱专业人员对此至关重要,原因有以下三个:
- 网络犯罪袭击金融机构和货币服务企业,获取他们控制的数据和资金,
- 并以这些机构的客户为目标。
- 网络犯罪分子利用金融机构和货币服务企业转移资金。
反洗钱专业人士在调查和制止网络犯罪方面发挥着重要作用,是打击这些犯罪的主力军。
正如反洗钱等金融专家处理与网络犯罪有价物相关的问题,其他调查人员从不同的角度调查网络犯罪,包括数字取证以及审查犯罪策略和技巧。如果个人和机构重视不同调查者和机构的观点、资源和专业知识,网络犯罪调查将大大改善。成功的网络犯罪调查既需要有关所有潜在调查渠道的广泛知识,也需要具有特定能力的调查人员的贡献。从不同角度参与网络犯罪斗争的调查人员都能从中受益,全面了解方法及法规,总体把握相关流程。
调查网络犯罪的三个主要群体包括:执法部门、私营机构(包括金融机构)和监管机构。法律和监管在网络犯罪调查的诸多方面均发挥着举足轻重的作用,原因有两个。首先,对于像金融业这样的受监管行业,可能需要根据监管标准进行一定程度的调查。其次,调查网络犯罪的机构必须考虑许多适用的刑法和民法。下列例子中可以看出如何进行网络犯罪调查。
虚拟网络犯罪调查
假设有一家由州和联邦政府监管的纽约银行。这家银行保存客户的资金,提供各种服务,并雇用了许多员工。所在州发布了一项新的普遍适用法律,加强了数据泄露报告的要求,并要求具备“合理的网络安全性”。 5现行的州和联邦的法规还要求银行维护稳定且安全的信息系统,并为其机密性、完整性和可用性提供适当的安全防护措施。 6监管机构每年都会检查信息安全制度体系,以确保其遵守这些法规。该银行须预防身份盗用, 7以及监督犯罪行为,包括网络犯罪以及向金融犯罪执法网络报告可疑或犯罪活动。8
金融机构及其客户不断遭受网络犯罪袭击。每次袭击,即使未成功,本身也构成犯罪(犯罪未遂),还会让犯罪分子改进其战术和技巧。袭击方式主要包括:
- 试图安装恶意软件,侵入计算机和网络,盗取客户和金融数据
- 试图控制客户的账户
- 试图通过非法转账或收费来窃取资金
该虚构银行的信息系统发生异常。银行需要做出一系列决策,包括是否激活其由反洗钱、信息技术、信息安全、法律、通信等多个部门的成员组成的事件响应小组,以及是否需要向政府和受影响方报告。
要做出这些决策,银行必须预先调查并确定某些事实。在这里,初始调查表明异常情况是由于一起网络犯罪(例如数据泄露或资金被盗)导致,需要进行报告和通知,并进行其他调查。银行必须通知州和联邦监管机构、执法部门以及信息被盗的人员。这并不意味着银行调查的结束,而仅仅是重要的决策点和里程碑。
执法部门收到报告后开始调查。执法部门是唯一能开展逮捕、制止和惩罚网络犯罪分子行动的部门,因此希望他们有朝一日可以将肇事者绳之以法。如今,有关数据泄露报告的法规表明,过去,许多公司受害者面对这些严重的网络犯罪会保持沉默,选择保护自己的声誉而不是举报犯罪。执法部门的调查不仅需要部门内各种专业人员合作,还需要私营机构(包括金融机构)受害者和证人的广泛合作。要了解袭击相关的技术本质,执法部门需依靠银行自身对内部系统进行调查和审查而收集的信息。要了解非法资金的流动,执法部门需依靠受害银行等金融机构的反洗钱专业人员和金融调查人员。
银行向州和联邦监管机构报告此事件,并向金融犯罪执法网络提交可疑活动报告。监管机构接收并审查报告后开始调查。调查的一个因素是报告是否及时、充分且符合要求。另一点是犯罪前采取的安全措施是否充足。
随着调查的开展,执法机构和监管机构会向银行提出许多问题,包括何时何地如何发生袭击,以及如何获取或盗窃数据。客户是欺诈的直接受害者,可能向银行询问犯罪发生方式以及资金去向。如果袭击涉及数据泄露(或给客户造成直接财务损失),则通知受影响的客户,可能会招致一些诉讼,以及对其安全性不足和违规的指控。此外,媒体可能会进行相关报道,导致业务可能会遭受损失。出于这些原因,银行必须继续自己的调查,以发现必要事实,帮助妥善解决问题。
网络犯罪调查的各个部分构成一个整体
这个例子表明,不同群体为网络犯罪调查带来的不同观点和目标,以及所需的诸多专业知识领域。网络犯罪调查人员应全面了解刑法、民法和监管法规,包括如何以有益且合法的方式保存证据。这有助于了解一些基本的技术和信息安全原则,以便与这些领域的专家有效交流。
重要的是,金融诈骗和反洗钱专业人员应了解归因技巧,这一技巧通过科学与艺术结合的方式,将在线行为与个人关联起来。归因与“了解您的客户”、客户尽职调查和其他反洗钱流程相互联系,发挥重要作用。网络犯罪调查人员依靠金融情报机构的记录,可以证明犯罪和罪犯的身份。这些记录的创建、保存和访问,或会成为识别网络犯罪分子的关键。有时,可疑活动报告可能会为执法人员提供相关金融记录,将这些点联系起来。
在一起大规模网络犯罪和洗钱案件中,财务分析通过证明犯罪行为和身份帮助破解了案件。金融机构的记录和报告显示了犯罪的真实程度:所赚取的非法利润、从事的交易以及资金到被告方的路径。银行电汇、汇款、信用卡交易和虚拟货币支付在整个调查过程中都发挥了作用,这些记录是审判中的重要证据,同时也证明了进行这些活动的人。
因此,金融机构记录中的线索是归因的关键证据。例如,在一个在线信用卡欺诈案例中,公司记录了其电子邮件地址、昵称、姓名和实际地址。在创建记录时,没有任何方法预测,该记录日后会成为帮助查找犯罪嫌疑人网络犯罪活动的重要线索,从而最终在审判中对犯罪分子进行定罪。认识到保存记录和反洗钱流程日后可能会成为防范网络犯罪分子的证据,可以带来更好的调查和预防效果,令各方受益。
通过了解归因过程,金融和反洗钱调查人员将了解如何使用他们的分析、概要、报告和保存的记录,在犯罪和犯罪嫌疑人间建立逻辑链接。 9金融调查在防范网络犯罪方面起着至关重要的作用,通常与其他关键领域,包括电子通信、数字取证、信息安全和法律适用领域等结合起来。
更有效的调查可以减少网络犯罪
网络犯罪对社会和个人的影响显而易见。对于所有机构,法规的要求均在增加,旨在预防袭击并改善报告的规定也越来越多。这些规定会增加合规成本。如果发生网络犯罪,机构将遭受直接的财务损失和成本,以及声誉损失和其他间接成本。对于个人和小型企业而言,网络犯罪欺诈和身份盗用所造成的危害可能会改变生活,甚至导致丧失毕生积蓄。反洗钱和金融欺诈调查人员可在网络犯罪调查和斗争方面发挥领导作用。
要打击网络犯罪,必须始终坚持对这些犯罪行为进行调查。现在,需要采取范围更大的行动,因为与传统的犯罪活动相比,打击这些犯罪需要不同的方法和思维方式。由来自不同部门、机构,具有不同背景知识的调查人员开展调查,才能取得最佳效果。所有调查人员都可以通过了解网络犯罪经济、适当的调查和证据收集步骤,以及不同调查部分适合的更广泛调查方式,更成功地打击网络犯罪。增加了解和合作有助于取得更良好的调查效果。反洗钱专业人员处于第一线,尽职和团队合作可以产生有效的协同作用,从而减少网络犯罪。
John Bandler 律师,CAMS,Bandler Law Firm PLLC 和 Bandler Group LLC 创始人,美国纽约州纽约市,johnbandler@bandlergroup.com
Antonia Merzon 律师,美国科罗拉多州博尔得,antonia@cybercrimeinvestigationsbook.com
John 和 Antonia 合著《网络犯罪调查:适用于所有人的综合资源》一书。
- John Bandler 和 Antonia Merzon,Cybercrime Investigations: A Comprehensive Resource for Everyone(网络犯罪调查:适用于所有人的综合资源),(Taylor & Francis,2020 年)。本文吸取了该书的主要前提,尤其是对金融调查的假设。
- “Advisory to Financial Institutions on Cyber-Events and Cyber-Enabled Crime”(就网络事件和网络犯罪问题对金融机构发布的公告),金融犯罪执法网络 ,2016 年 10 月 25 日,https://www.fincen.gov/resources/advisories/fincen-advisory-fin-2016-a005。金融犯罪执法网络在此公告中确认了反洗钱专业人士对调查网络犯罪的重要性。同时还指出,出色的网络犯罪调查需要用到多个专业领域,包括反洗钱、信息安全和反欺诈措施。
- Bandler 和 Merzon,Cybercrime Investigations(网络犯罪调查),第十五章(金融调查)。调查人员应关注价值概念,并留意该领域中不断更新的术语,包括数字货币、虚拟货币、虚拟资产、加密货币、加密资产和“其他替代货币的有价物”。
- John Bandler,“Stemming the Flow of Cybercrime Payments and Money Laundering”(遏制网络犯罪资金流动和洗钱),《今日 ACAMS》,2017 年 6 月 9 日,https://www.acamstoday.org/stemming-the-flow-of-cybercrime-payments/。
- 《通用商法》第 899-aa 节和第 899-bb 节提供了纽约新的《阻止黑客入侵并改善电子数据安全法案》(SHIELD Act),全文见 https://www.nysenate.gov/legislation/bills/2019/s5575。
- “Cybersecurity Requirements for Financial Services Companies”(金融服务公司的网络安全要求),纽约州金融服务局,https://www.dfs.ny.gov/docs/legal/regulations/adoptions/dfsrf500txt.pdf ;联邦政府的要求甚至更加详细,其中包括来自联邦金融机构检查委员会的网络安全评估工具。“Cybersecurity Assessment Tool”(网络安全评估工具),联邦金融机构检查委员会 ,https://www.ffiec.gov/cyberassessmenttool.htm。
- “Title 16: Commercial Practices”(第 16 篇:商业行为),电子联邦法规汇编,https://ecfr.gov/cgibin/text-idx?SID=d1a1f7573243239ae256f61822657b6b&mc=true&node=pt16.1.681&rgn=div5
- “FinCEN Issues Advisory to Financial Institutions on Cyber-Events and Cyber-Enabled Crime”(金融犯罪执法网络发布就网络事件和网络犯罪问题对金融机构发布的公告),金融犯罪执法网络,2016 年 10 月 25 日,https://www.fincen.gov/news/news-releases/fincen-issues-advisoryfinancial-institutions-cyber-events-and-cyberenabled
- Bandler 和 Merzon,Cybercrime Investigations(网络犯罪调查),第十六章(识别 / 归因)。